出其不意劍走偏鋒什么意思（劍走偏鋒，出其常路安全不走尋常路）

很多時(shí)候明知有些(xie)網(wǎng)站或者軟件包含病毒，不意我們還要進(jìn)行訪(fǎng)問(wèn)。劍走比如對某種病毒、偏鋒木馬進(jìn)行測試(shi)，什意思劍或者分析某些網(wǎng)站的走偏走尋惡意代碼。對于這類(lèi)“以身試毒”的鋒安操作，現在可以借助一些“沙盒”環(huán)境進(jìn)行測試。出其常路

不??過(guò)需要注意的不意是，下列保護方法雖然可以保證關(guān)機后病毒不會(huì )在當前硬盤(pán)中有殘留，劍走但是偏鋒在測試過(guò)程中，病毒實(shí)際功效并不會(huì )消失，什意思劍比如盜號木馬仍然會(huì )盜號，走偏走尋假設你此時(shí)進(jìn)行游戲登錄，鋒安還是出其常路有可能被竊走(′ω｀*)游戲賬號信??息的，所以在測試過(guò)程中不要進(jìn)行比較敏感的操作，以及需要做好相應的保護措施。

1.使用虛擬內??存環(huán)境測試病毒

如果要在電腦上測試帶毒程序，為了避免病毒侵襲當前系統，可以借助微軟提供的UWF系統，它類(lèi)似常見(jiàn)的影子系統，開(kāi)啟保護后當前所有操作都會(huì )映射到內存中，重啟后???即可自動(dòng)清除所有寫(xiě)入操作。

圖1 開(kāi)(kai)啟C盤(pán)保護

上述操作只是開(kāi)??啟對C盤(pán)的保護，如果需要進(jìn)行全盤(pán)保護，請自行使用UWF命令行進(jìn)行保護（uwfmgr.exe volume protect 盤(pán)符1(′?ω?`)，盤(pán)符2）即可。開(kāi)啟上述保護措施后，繼續以管理員身份運行其中的“查看狀態(tài)”腳本即(′ω｀)可看到目前受保護的??分區(圖2)。

圖2 查看分區保護狀態(tài)

完成上述操作后，當前所(′▽?zhuān)?有操作的寫(xiě)入都會(huì )被映射到本地內存中。比如安裝的惡意軟件看似安裝到C:Program Files，實(shí)際上寫(xiě)入的數據都是在內存中。由于內存中數據無(wú)法在斷電后保存，這樣只要重啟后即可刪除所有安裝的惡意軟件，不會(huì )對當前系統造成什(′；ω；`)么(╬?益?)破壞。( ?ヮ?)

2.使用(???)沙盒測試帶毒網(wǎng)站

啟動(dòng)程序后點(diǎn)擊“沙盤(pán)→Defaultbo(′?ω?`)x→沙盤(pán)中運行→運行??網(wǎng)頁(yè)瀏覽器”，這樣啟動(dòng)的IE瀏覽器就實(shí)現在沙盒中運行了（圖3）。

圖3 添加程序到沙盒中運行

啟動(dòng)IE瀏覽器后可以??切換到沙盒，點(diǎn)擊“文件→檢查窗口是否在沙盒中運行”，在彈出的窗口中將十字圖標移動(dòng)(dong)到IE標題欄，此時(shí)會(huì )顯示當(dang)前程序正運行在沙盒中，表示當前IE已經(jīng)在沙盒保護中了（圖4）。

圖4 查看程序是否受沙盒保護

比如現在(′?｀)在IE中訪(fǎng)問(wèn)了有惡意代碼的網(wǎng)頁(yè)，下載的木馬、惡意代碼就會(huì )保存在沙盒虛擬??目錄中。測(′?ω?`)試完成后可以隨時(shí)點(diǎn)擊“文??件→終止所有程序”，這樣保存在沙盒里的惡意代(°ロ°) !碼等內容就會(huì )全部自動(dòng)清除了??。

3.專(zhuān)款專(zhuān)用，打造測試專(zhuān)用測試系統

UWF和沙盒保護操作雖然(╯°□°）╯簡(jiǎn)單，但是也有不少缺點(diǎn)，前者對內存要求較高，后者則和不少程序存在兼容性故障。對于經(jīng)常需要測試病，還可以借助VHD創(chuàng )建差分系統的方法，為當前系統創(chuàng )建一個(gè)子系統，這樣測試完畢將子系統刪除后就可以完全刪除病毒。VHD差分系統是一個(gè)完整系統，可以有效解決上述兩種保護方式的不足。

首先啟動(dòng)VHDX_OneKey，點(diǎn)擊“創(chuàng )建VHD→VHDX”,按提示創(chuàng )建一個(gè)VHD系統。完成VHD系統的創(chuàng )建后切換到“差分→VHD/VHDX”，并選擇“創(chuàng )建差分磁盤(pán)，并添加差分磁盤(pán)及快速還原到BCD”，按提示創(chuàng )建一??個(gè)差分系統(tong)（圖5）。

圖(???)5 創(chuàng )建差分系統

這樣重啟后使用VHD系統啟動(dòng)時(shí)，在多重啟動(dòng)菜單會(huì )添加一個(gè)差分磁盤(pán)的啟動(dòng)項，選擇其進(jìn)入差分系統后可以看到，差分子系統??(tong)和平常系統是一樣的，我們可以在這個(gè)系統里隨意測試安裝病毒軟件。但是這些軟件(jian)只是存在差分系統中ヽ(′▽?zhuān)?ノ，測??試完畢重啟系統，進(jìn)入原來(lái)系統(tong)后將上述創(chuàng )建的差分VHD文件刪除即可，下次需要使用時(shí)可以繼續創(chuàng )建差分系統作為測試專(zhuān)用系統（圖6）。